Linux Firewalld用法及案例

本文轉載自查看原文 2019-06-27 22:34 426 防火牆/ firewalld

Firewalld概述

動態防火牆管理工具
定義區域與接口安全等級
運行時和永久配置項分離
兩層結構
- 核心層處理配置和后端，如iptables、ip6tables、ebtables、ipset和模塊加載器
- 頂層D-Bus 更改和創建防火牆配置的主要方式。所有firewalld都使用該接口提供在線工具

原理圖

Firewalld與iptables對比

firewalld 是 iptables 的前端控制器
iptables 靜態防火牆任一策略變更需要reload所有策略，丟失現有鏈接
firewalld 動態防火牆任一策略變更不需要reload所有策略將變更部分保存到iptables,不丟失現有鏈接
firewalld 提供一個daemon和service 底層使用iptables
基於內核的Netfilter

配置方式

firewall-config 圖形界面
firewall-cmd 命令行工具
直接修改配置文件
/lib/firewalld 用於默認和備用配置
/etc/firewalld 用於用戶創建和自定義配置文件覆蓋默認配置
/etc/firewalld/firewall.conf 全局配置

運行時配置和永久配置

firewall-cmd –zone=public –add-service=smtp 運行時配置，重啟后失效
firewall-cmd –permanent –zone=public –add-service=smtp 永久配置，不影響當前連接，重啟后生效
firewall-cmd –runtime-to-permanent 將運行時配置保存為永久配置

Zone

網絡連接的可信等級,一對多，一個區域對應多個連接

drop.xml 拒絕所有的連接
block.xml 拒絕所有的連接
public.xml 只允許指定的連接 *默認區域
external.xml 只允許指定的連接
dmz.xml 只允許指定的連接
work.xml 只允許指定的連接
home.xml 只允許指定的連接
internal.xml 只允許指定的連接
trusted.xml 允許所有的連接
/lib/firewalld/zones 默認和備用區域配置
/etc/firewalld/zones 用戶創建和自定義區域配置文件覆蓋默認配置

<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm yo
ur computer. Only selected incoming connections are accepted.</description>
  <service name="ssh"/>
  <service name="dhcpv6-client"/>
</zone>

version="string" 版本
target="ACCEPT|%%REJECT%%|DROP" 默認REJECT 策略
short 名稱
description 描述
interface 接口
    name="string"
source 源地址
    address="address[/mask]"
    mac="MAC"
    ipset="ipset"
service 服務
    name="string"
port 端口
    port="portid[-portid]"
    protocol="tcp|udp"
protocol 協議
    value="string"
icmp-block 
    name="string"
icmp-block-inversion
masquerade
forward-port
    port="portid[-portid]"
    protocol="tcp|udp"
    to-port="portid[-portid]"
    to-addr="address"
source-port
    port="portid[-portid]"
    protocol="tcp|udp"
rule 
<rule [family="ipv4|ipv6"]>
  [ <source address="address[/mask]" [invert="True"]/> ]
  [ <destination address="address[/mask]" [invert="True"]/> ]
  [
    <service name="string"/> |
    <port port="portid[-portid]" protocol="tcp|udp"/> |
    <protocol value="protocol"/> |
    <icmp-block name="icmptype"/> |
    <masquerade/> |
    <forward-port port="portid[-portid]" protocol="tcp|udp" [to-port="portid[-portid]"] [to-addr="address"]/> |
    <source-port port="portid[-portid]" protocol="tcp|udp"/> |
  ]
  [ <log [prefix="prefixtext"] [level="emerg|alert|crit|err|warn|notice|info|debug"]/> [<limit value="rate/duration"/>] </log> ]
  [ <audit> [<limit value="rate/duration"/>] </audit> ]
  [
    <accept> [<limit value="rate/duration"/>] </accept> |
    <reject [type="rejecttype"]> [<limit value="rate/duration"/>] </reject> |
    <drop> [<limit value="rate/duration"/>] </drop> |
    <mark set="mark[/mask]"> [<limit value="rate/duration"/>] </mark>
  ]
</rule>

rich rule 
<rule [family="ipv4|ipv6"]>
  <source address="address[/mask]" [invert="True"]/>
  [ <log [prefix="prefixtext"] [level="emerg|alert|crit|err|warn|notice|info|debug"]/> [<limit value="rate/duration"/>] </log> ]
  [ <audit> [<limit value="rate/duration"/>] </audit> ]
  <accept> [<limit value="rate/duration"/>] </accept> |
  <reject [type="rejecttype"]> [<limit value="rate/duration"/>] </reject> |
  <drop> [<limit value="rate/duration"/>] </drop>
</rule>

services

<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>MySQL</short>
  <description>MySQL Database Server</description>
  <port protocol="tcp" port="3306"/>
</service>

version="string"
short
description
port
    port="string"
    protocol="string"
protocol
    value="string"
source-port
    port="string"
    protocol="string"
module
    name="string"
destination
    ipv4="address[/mask]"
    ipv6="address[/mask]"

ipset配置

系統默認沒有ipset配置文件，需要手動創建ipset配置文件
mkdir -p /etc/firewalld/ipsets/mytest.xml mytest就是ipset名稱
根據官方手冊提供的配置模板

<?xml version="1.0" encoding="utf-8"?>
<ipset type="hash:net">
  <short>white-list</short>
  <entry>192.168.1.1</entry>
  <entry>192.168.1.2</entry>
  <entry>192.168.1.3</entry>
</ipset>

entry也就是需要加入的IP地址
firewall-cmd --get-ipsets 顯示當前的ipset
firewall-cmd --permanent --add-rich-rule 'rule family="ipv4" source ipset="mytest" port port=80 protocol=tcp accept' 將ipset應用到策略中

服務管理

yum -y install firewalld firewall-config #安裝firewalld
systemctl enable|disable firewalld #開機啟動
systemctl start|stop|restart firewalld #啟動、停止、重啟firewalld

如果想使用iptables配置防火牆規則，要先安裝iptables並禁用firewalld

yum -y install iptables-services #安裝iptables
systemctl enable iptables #開機啟動
systemctl start|stop|restart iptables #啟動、停止、重啟iptables

firewall-cmd常用命令

firewall-cmd --version 查看firewalld版本
firewall-cmd --help 查看firewall-cmd用法
man firewall-cmd

firewall-cmd --state #查看firewalld的狀態
systemctl status firewalld #查看firewalld的狀態,詳細

firewall-cmd --reload 重新載入防火牆配置，當前連接不中斷
firewall-cmd --complete-reload 重新載入防火牆配置，當前連接中斷

firewall-cmd --get-services 列出所有預設服務
firewall-cmd --list-services 列出當前服務
firewall-cmd --permanent --zone=public --add-service=smtp 啟用服務
firewall-cmd --permanent --zone=public --remove-service=smtp 禁用服務

firewall-cmd --zone=public --list-ports 
firewall-cmd --permanent --zone=public --add-port=8080/tcp 啟用端口
firewall-cmd --permanent --zone=public --remove-port=8080/tcp 禁用端口
firewall-cmd --zone="public" --add-forward-port=port=80:proto=tcp:toport=12345 同服務器端口轉發 80端口轉發到12345端口
firewall-cmd --zone=public --add-masquerade 不同服務器端口轉發，要先開啟 masquerade
firewall-cmd --zone="public" --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.1.1 不同服務器端口轉發，轉發到192.168.1.1的8080端口

firewall-cmd --get-zones 查看所有可用區域
firewall-cmd --get-active-zones 查看當前活動的區域,並附帶一個目前分配給它們的接口列表
firewall-cmd --list-all-zones 列出所有區域的所有配置
firewall-cmd --zone=work --list-all 列出指定域的所有配置
firewall-cmd --get-default-zone 查看默認區域
firewall-cmd --set-default-zone=public 設定默認區域

firewall-cmd --get-zone-of-interface=eno222
firewall-cmd [--zone=<zone>] --add-interface=<interface> 添加網絡接口
firewall-cmd [--zone=<zone>] --change-interface=<interface> 修改網絡接口
firewall-cmd [--zone=<zone>] --remove-interface=<interface> 刪除網絡接口
firewall-cmd [--zone=<zone>] --query-interface=<interface> 查詢網絡接口

firewall-cmd --permanent --zone=internal --add-source=192.168.122.0/24 設置網絡地址到指定的區域
firewall-cmd --permanent --zone=internal --remove-source=192.168.122.0/24 刪除指定區域中的網路地址

firewall-cmd --get-icmptypes

Rich Rules

firewall-cmd –list-rich-rules 列出所有規則
firewall-cmd [–zone=zone] –query-rich-rule=’rule’ 檢查一項規則是否存在
firewall-cmd [–zone=zone] –remove-rich-rule=’rule’ 移除一項規則
firewall-cmd [–zone=zone] –add -rich-rule=’rule’ 新增一項規則

復雜規則配置案例

firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address=192.168.0.14 accept' 允許來自主機 192.168.0.14 的所有 IPv4 流量

firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address="192.168.1.10" port port=22 protocol=tcp reject' 拒絕來自主機 192.168.1.10 到 22 端口的 IPv4 的 TCP 流量

firewall-cmd --zone=public --add-rich-rule 'rule family=ipv4 source address=10.1.0.3 forward-port port=80 protocol=tcp to-port=6532' 許來自主機 10.1.0.3 到 80 端口的 IPv4 的 TCP 流量，並將流量轉發到 6532 端口上

firewall-cmd --zone=public --add-rich-rule 'rule family=ipv4 forward-port port=80 protocol=tcp to-port=8080 to-addr=172.31.4.2' 將主機 172.31.4.2 上 80 端口的 IPv4 流量轉發到 8080 端口（需要在區域上激活 masquerade）

firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.122.0" accept' 允許192.168.122.0/24主機所有連接

firewall-cmd --add-rich-rule='rule service name=ftp limit value=2/m accept' 每分鍾允許2個新連接訪問ftp服務

firewall-cmd --add-rich-rule='rule service name=ftp log limit value="1/m" audit accept' 同意新的IPv4和IPv6連接FTP ,並使用審核每分鍾登錄一次

firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.122.0/24" service name=ssh log prefix="ssh" level="notice" limit value="3/m" accept' 允許來自1192.168.122.0/24地址的新IPv4連接連接TFTP服務,並且每分鍾記錄一次

firewall-cmd --permanent --add-rich-rule='rule protocol value=icmp drop' 丟棄所有icmp包

firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.122.0/24 reject' --timeout=10 當使用source和destination指定地址時,必須有family參數指定ipv4或ipv6。如果指定超時,規則將在指定的秒數內被激活,並在之后被自動移除

firewall-cmd --add-rich-rule='rule family=ipv6 source address="2001:db8::/64" service name="dns" audit limit value="1/h" reject' --timeout=300 拒絕所有來自2001:db8::/64子網的主機訪問dns服務,並且每小時只審核記錄1次日志

firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.122.0/24 service name=ftp accept' 允許192.168.122.0/24網段中的主機訪問ftp服務

firewall-cmd --add-rich-rule='rule family="ipv6" source address="1:2:3:4:6::" forward-portto-addr="1::2:3:4:7" to-port="4012" protocol="tcp" port="4011"' 轉發來自ipv6地址1:2:3:4:6::TCP端口4011,到1:2:3:4:7的TCP端口4012

免責聲明！

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 記錄一次Linux Firewalld防火牆故障排查的案例Error：Action org.fedoraproject.FirewallD1.config.info is not registered Linux - firewalld - 開放端口 Linux Firewalld 簡明介紹 Linux Firewalld 基礎介紹【Linux筆記】CentOS 7 systemctl、firewalld Linux防火牆配置(iptables, firewalld) Linux下的firewalld防火牆管理 Linux出現“FirewallD is not running”解決辦法 Linux防火牆配置(iptables, firewalld) Linux之firewalld防火牆規則